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(57) Abstract: The invention concerns a secure electronic entity (11), adapted to store at least one object, comprising a unit (18) 
for measuring the passage of time as from a reference date (DreQ associated with said object. It comprises a unit (19) for storing a 
life span (V) assigned to said object co-operating with the time measuring unit (18) so as to compare the time elapsed and the life 
span (V), It further comprises an updating and invalidating unit (21), to update the object life span or to temporarily or permanenUy 
disable the object if the comparison shows that the time elapsed exceeds the life span (V). The invention is in particular applicable 
to smart cards. 
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(57) Abrege : Cette entity ^lectronique s^curis^e (11), adaptde k m^moriser au moins un objet, contient une unit^ (18) de mesure du 
temps qui s'^oule k partir d'une date de rSfiSrence (Dref) associde k cet objet. Elle comporte une unit6 (19) de memorisation d'une 
dur^e de vie (V) attribute k Tobjet, coop^rant avec I'unit^ (18) de mesure du temps de fagon k comparer le temps 6coul6 et la dui^e 
de vie (V). Elle comporte aussi une umt6 (21) de mise ^ jour et d'invalidation, pour mettre ^ jour la dur6e de vie ou I'objet ou rendre 
Tobjet temporairement ou d^finitivement inutilisable s'il rfisulte de la comparaison que le temps 6cou\6 d6passe la dur& de vie (V). 
Applications notamment aux cartes k microcircuit. 
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ENTITE ELECTRONIQUE SECURISEE 
INTEGRANT LA GESTION DE LA DUREE DE VIE D'UN OBJET 

L'invention se rapporte ^ une entite electron ique s6curis6e adaptee ^ 
m6moriser au moins un objet et a notamment pour objet un perfectionnement 
apporte ^ une telle entite electronique pour que celle-ci puisse effectuer une 
gestion d'une duree de vie attribute ^ robjet, qui s'6coule a partir d'une date de 
r^f^rence assoclSe d cet objet. 

On entend ici une gestion du temps "dans" {'entity 6lectronique au sens oCi 
cette gestion est independante de tout syst§me ext^rieur de mesure du temps, 
qu'il s'agisse par exemple d'un g6n6rateur de signal d'horloge ou de tout autre 
moyen de mesure du temps sltu§ d I'ext6rieur par rapport d I'entit^ 6Iectronique. 

Ces sp6cificlt6s permettent de rendre relativement inviolable I'entite 
6lectronlque objet de la presente invention. 

Dans toute la suite, la dur6e de vie d'un objet s'entend aussi bien comme 
une dur§e totale d'utilisation de cet objet que comme une dur6e forfaitaire 
choisie a I'avance, independante de la duree d'utilisation effective de I'objet. 

L'invention peut s'appliquer a toute entity 6lectronique s6curisee, comme, 
par exemple, une carte S microclrcult s6curisee. comportant des moyens lui 
permettant d'§tre coupl6e au moins temporairement a une source d'6nergie 
6lectrique pour la mise en ceuvre au moins d'une op6ration. L'invention peut 
notamment permettre de g6rer la dur6e de vie de la carte elle-m§me ou d'objets 
contenus dans la carte, en I'absence de source pennanente d'alimentation en 
6nergie. 

L'entit§ Electronique peut §tre par exemple une carte a microcircuit telle 
qu'une carte bancaire, une carte de contrdle d'acc§s, une carte d'identite, une 
carte SIM ou une carte memoire (telle qu'une carte SD (Secured Digital) de 
Panasonic), ou peut §tre une carte PCMCIA (architecture Internationale de 
cartes-m6moire d'ordinateurs individuels, en anglais "Personal Computer 
Memory Card International Architecture") (par exemple, une carte IBM 4758). 

La s6curit6 d'un objet m6moris# dans une telle entite electronique peut 
§tre am6lior6e s'il est possible de prendre en compte le temps qui s'est 6coule 
depuls une date de reference li§e S cet objet. que I'objet soit le syst6me 
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d'exploitation de la carte ou un code secret (code PIN, cle, certificat), un fichier 
de donn6es ou un systdme de fichiers, une application ou encore des droits 
d'accds. 

II existe des applications, telles que la gestion de droits numeriques de 
type DRM (en anglais "Digital Right Management'), qui n6cessitent d'utiliser un 
temps certifie, c'est-^-dire provenant d'une mesure du temps s6curls6e. 

□•autre part, limiter la dur§e de validity de certaines donn6es secretes 
memorisees dans une carte ^ microcircuit, telles qu'une cl6. un certificat ou un 
code PIN, permet d'augmenter la security de la carte. 

En outre, on peut utiliser la limitation de la dur§e de validity pour g§rer 
certains objets dans la carte, par exemple pour la gestion de versions 
successives d'une application ou le "recyclage des d6chets". c'est-a-dire la 
liberation d'espace m6moire correspondant k des objets qui ne sont plus utilises 
(technique dite du "garbage collectoi" ou collecte des dechets). 

A la connaissance du demandeur, il n'existe pas, dans les cartes a 
microcircuit connues, de possibilite de mesurer le temps de fagon s§curis6e et 
autonome ou de limiter la duree de validity d'objets memorises dans la carte. 
Cela augmente les probabilites de piratage de ces objets en laissant d un 
individu mal intentionn§ ropportunit6 de les utiliser de fapon frauduleuse. par 
exemple en fournissant d la carte une fausse indication du temps. 

La pr6sente invention a pour but de rem6dier ^ ces inconv6nients, en 
emp§chant un attaquant d'utiliser de fagon frauduleuse une entity 6lectronlque 
s6curis§e, ou un ou plusieurs objets m6moris§s dans celle-ci. Pour ce faire, la 
pr6sente invention int6gre dans I'entit^ electronique la gestion de la duree de vie 
attribute d ce ou ces objets, voire ^ l'entit§ electronique elle-meme. 

Dans ce but. invention propose une entite Electronique securisee 
comportant une unite adapt^e ^ memoriser au moins un objet. remarquable en 
ce qu'elle contient une unite de mesure du temps qui s'ecoule d partir d'une date 
de reference associee ^ cet objet et en ce qu'elle comporte : 

- une unit6 de memorisation d'une dur6e de vie attribuee S I'objet. 
runit6 de memorisation cooperant avec I'unit6 de mesure du temps de fapon d 
comparer le temps 6coul§ et la dur6e de vie et 
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- une unlt§ de mise d jour et d'invalidation, pour mettre a jour la 
dur6e de vie ou I'objet ou rendre I'objet temporairement ou definitivement 
inutillsable s'il r§sulte de la comparaison pr6cit6e que le temps ecoule atteint ou 
d6passe la duree de vie. 

Conform§ment a I'invention, les moyens permettant de determiner le 
temps qui s'ecoule ^ partir de la date de reference se situent dans I'entit^ 
6lectronique, ce qui permet d'augmenter sa s6curisatlon. 

Comme indique plus haut, la dur§e de vie pr6cit6e peut, soit correspondre 
^ la dur6e totale d'utilisation effective de I'objet. soit etre une p6riode de temps 
independante de la dur6e totale d'utilisation effective de I'objet. 

Dans le cas oil la dur6e de vie est ind6pendante de la dur6e totale 
d'utilisation effective de I'objet, la date de r6f6rence est une date qui marque le 
d§but de la mesure du temps. Elle est eventuellement. mais non 
n§cessairement. memoris§e dans I'entite electronique. Dans le cas ou la duree 
de vie correspond a la duree totale d'utilisation effective de Tobjet, on mesure le 
temps §coule lore de chaque utilisation de cet objet, la date de r6f6rence etant § 
chaque fois la date de debut d'utilisation. 

Avantageusement, I'unite de mesure du temps est adapt6e S foumir une 
mesure du temps qui s'6coule ^ partir de la date de r6f6rence mdme lorsque 
I'entite electronique n'est pas alimentee par une source d'energie exterieure. 

Avantageusement, I'unite de mesure du temps est adaptee S fournir une 
mesure du temps qui s'ecoule § partir de la date de reference mSme lorsque 
I'entite electronique n'est pas alimentee eiectriquement. 

Avantageusement, I'unite de mesure du temps est adaptee a fournir une 
mesure du temps qui s'ecoule ^ partir de la date de reference independamment 
de tout signal d'horloge exterieur. 

En ce sens, I'entite electronique est autonome, a la fois du point de vue de 
la mesure du temps et du point de vue de {'alimentation eiectrique. 

En variante, on peut bien entendu prevoir une pile et/ou une horloge dans 
I'entite electronique. 

L'unite de mesure du temps peut comporter un moyen de comparaison de 
deux dates, une date etant. de fagon generate, une expression du temps courant 
et ces deux dates s'entendant ici comme deux instants definis par rapport a une 
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m6me reference temporelle, laquelle est par exemple la date de reference 
associ^e d Tobjet dont I'entlt^ 6lectronique controle ia dur6e de vie. Le moyen de 
comparaison peut comparer la date courante directement a la date de reference 
de I'objet, ce qui permet de d6duire directement la duree de vie restante de 
5 robjet. En variante, le moyen de comparaison peut comparer, a chaque 
utilisation de I'objet, la date de fin d'utilisation ^ la date de d§but d'utilisation et 
additionner cette dur6e aux dur6es qui auront ete calcul6es pour les utilisations 
anterieures de I'objet. Ensuite, le moyen de comparaison verifie si cette dur6e 
cumulee est ou non sup6rieure d ia dur6e de vie fixee pour cet objet. 
10 L'unit6 de memorisation de la dur6e de vie comporte avantageusement 

une entit6 s6curis6e et peut 6tre situ6e dans ou hors de I'entit6 §lectronlque. 

Comme mentionnd en introduction, d titre d'exemples non limitatifs, I'objet 
peut gtre le systdme d'exploltation d'une carte, un code secret (code PIN, cle ou 
certificat), un fichier ou un systdme de fichiers, une application ou encore des 
5 droits d'accds. La date de r6f6rence associ6e a I'objet peut §tre la date a laquelle 
I'objet a 6t6 cree dans I'entite electronique. 

Dans un mode de realisation pr6fer6 de la presente invention. I'entit6 
electronique securisee comporte au moins un sous-ensemble comprenant : 

un composant capacitif presentant une fuite au travers de son espace 
dielectrlque, des moyens permettant de coupler ce composant capacitif d une 
source d'6nergie eiectrique pour §tre charge par la source d'energle eiectrique et 
un moyen de mesure de la charge residuelle du composant capacitif. 
cette charge residuelle etant au moins en partie representative du temps qui 
s'est ecouie apr6s que le composant capacitif a ete decouple de la source 
d'energle eiectrique. 

Dans ce cas. le composant capacitif du sous-ensemble precite ne peut 
etre charge que lorsque I'entite electronique securisee est couplee a la source 
d'energie eiectrique. Cette derniere peut etre exterieure ^ I'entite electronique 
securisee, mais ce n'est pas imperatif : en variante, on peut prevoir d'alimenter 
I'entite electronique par une pile disposee dans ou sur celle-ci. 

L'entite electronique pourra etre pourvue d'un moyen de commutation 
pour decoupler le composant capacitif de la source d'energle eiectrique, cet 
evenement Initlalisant la mesure du temps. 
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Plus g6neralement, la mesure du temps, c'est-§-dlre la variation de 
charge du composant capacitif, commence dfes que, apres avoir 6t§ charge, 
celui-cl se trouve 6lectriquement lsol§ de tout autre circuit et ne peut plus se 
d^charger qu'd travers son propre espace di6lectrique. 

Cependant, m§me si, physiquement, la charge residuelle mesur6e est Ii6e 
a I'Intervalle de temps ecoul6 entre I'isolement de I'^lement capacitif et une 
mesure donn6e de sa charge r§siduelle, un intervalle de temps mesur6 peut §tre 
determine entre deux mesures, la premiere mesure determinant en quelque 
sorte une charge residuelle de reference. Le moyen de mesure de la charge 
r6slduelle du composant capacitif est mis en oeuvre lorsqu'on d6sire connaTtre 
un temps §couie. 

Le composant capacitif est charg6 au cours d'une utilisation de I'objet dont 
I'entit6 §lectronique controle la dur6e de vie, cette "utilisation" s'entendant au 
sens le plus large et incluant par exemple la creation de I'objet. Le moyen de 
mesure de la charge residuelle est mis en oeuvre au cours d'une telle utilisation 
pour fournir une information, soit representative du temps qui s'est ecoule depuis 
la date de reference, soit representative de la dur§e totale d'utilisation de I'objet, 
selon que la dur6e de vie de I'objet est ind6pendante ou non de la dur6e 
d'utilisation effective de cet objet. 

Par ailleurs, I'invention permet en outre S I'entite electronique s§curis§e 
de continuer d mesurer le temps 6coul§, m§me apres que I'entite Electronique a 
6t6 temporairement aliment6e en courant et qu'elle se trouve ensuite depourvue 
de toute nouvelle alimentation 6lectrique. L'invention ne n6cessite done pas 
d'utiliser une source d'6nergie 6lectrique en permanence. 

Le moyen de mesure de la charge residuelle peut etre compris dans 
I'unite de mesure du temps mentionnee plus haut. 

Dans le mode prefere de realisation, le moyen de mesure de la charge 
residuelle comprend un transistor a effet de champ dont la grille est connectee ^ 
une borne du composant capacitif, c'est-^-dire ^ une "armature" d'une capacite. 

Une telle capacite peut §tre realis6e en technologie MOS et son espace 
dieiectrique peut alors gtre constitue par un oxyde de silicium. Dans ce cas, il est 
avantageux que le transistor d effet de champ soit realise egalement en 
technologie MOS. La grille du transistor d effet de champ et l"'armature" du 
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composant capacrtif MOS sont reltees et constituent une sorte de grille flottante 
qui peut 6tre connect6e ^ un composant pemriettant d'injecter des porteurs de 
charge. 

On peut aussi faire en sorte qu'il n'existe aucune connexion 6lectrique a 
proprement parler avec Tenvironnement ext^rleur. La connexion de la grille 
flottante peut §tre remplacee par une grille de contreie (6lectriquement Isolde) 
qui vient charger la grille flottante, par exemple par effet tunnel ou par "porteurs 
chauds". Cette grille permet de faire transiter des porteurs de charge vers la 
grille flottante commune au transistor ^ effet de champ et au composant 
capacitif. Cette technique est bien connue des fabricants de m6moires de type 
EPROM ou EEPROM. 

Le transistor S effet de champ et le composant capacitif peuvent 
constituer une unlt6 integrde dans un microcircuit compris dans I'entite 
electronique s6curis6e ou faisant partie d'un autre microcircuit loge dans une 
autre entit§ s6curis6e, telle qu'un serveur. 

A certains instants, p6riodiques ou non, durant I'utilisation de I'objet dont 
la duree de vie est controlee par I'entite Electronique sEcurisee. lorsque Tentitd 
electronique s6curis6e est couplee a une source d'6nergie 6lectrique extdrieure. 
le composant capacitif est charge a une valeur pr6d§termin6e. connue ou 
mesurde et mdmorlsee. et le moyen de mesure de la charge residuelle est relie 
S une borne de ce composant capacitif. 

Lorsque I'objet n'est pas utilise, le moyen de mesure de la charge 
residuelle. notamment le transistor ^ effet de champ, n'est plus aliments mais sa 
grille reliee i la borne du composant capacitif est portee a une tension 
correspondent d la charge de celui-ci. 

Lorsque la dur6e de vie est independante de la dur6e effective d'utilisatlon 
de I'objet. pendant toute la periode de temps qui separe la date de reference 
associee ^ I'objet de la date de son utilisation courante, le composant capacitif 
se d6charge lentement au travers de son propre espace dielectrique de sorte 
que la tension appliqu§e sur la grille du transistor d effet de champ dimlnue 
progressivement. 

Au moment oD I'entltd Electronique est d nouveau connectee ^ une source 
d'Energie 6lectrlque. lorsque I'objet est d nouveau utilisE, une tension Electrique 
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est appliqu6e entre le drain et la source du transistor d effet de champ. Ainsi. un 
courant electrique allant du drain vers la source (ou dans le sens contraire selon 
les cas) est engendre et peut §tre recuellli et analyse. 

La valeur du courant electrique mesur6 depend des parametres 
technologlques du transistor a effet de champ et de la difference de potentiel 
entre le drain et la source, mals aussi de la tension entre la grille et le substrat. 
Le courant depend done des porteurs de charge accumules dans la grille 
flottante commune au transistor ^ effet de champ et au composant capacitif. Par 
consequent, ce courant de drain est aussi repr6sentatif du temps qui s'est 6coul§ 
entre la date de reference et la date courante. 

Le courant de fuite d'une telle capacity depend bien sOr de I'epaisseur de 
son espace di§lectrique mals 6galement de tout autre paramdtre dit 
technologique tel que les longueurs et surfaces de contact des elements du 
composant capacitif. II faut 6galement prendre en compte I'architecture 
tridlmensionnelle des contacts de ces parties, qui peut induire des phenom^nes 
modifiant les parametres du courant de fuite (par exemple, modification de la 
valeur de la capacity dite tunnel). Le type et la quantite des dopants et des 
d§fauts peuvent §tre modules pour modifier les caracteristlques du courant de 
fuite. 

Les variations de temperature ont aussi une Influence, plus predsement la 
moyenne des apports d'^nergie calorifique appliques S I'entite eiectronique 
securisee pendant le temps d'utllisatlon de I'objet. En fait, tout parametre 
intrlnseque d la technologle MOS peut 6tre source de modulation du processus 
de la mesure du temps. 

Avantageusement, I'epaisseur de la couche isolante du transistor ^ effet 
de champ est notablement superieure (par exemple environ trois fois superieure) 
a repaisseur de la couche isolante du composant capacitif. 

Quant ^ repaisseur de la couche isolante du composant capacitif, elle est 
avantageusement comprise entre 4 et 10 nanometres. 

Pour obtenir une information sensiblement unlquement representative du 
temps, on peut pr6voir, dans une variante de realisation, au moins deux sous- 
ensembles tels que definis ci-dessus. exploltes "en paralieie". Les deux 
composants capacltifs sensibles a la temperature sont definis avec des fuites 
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diff§rentes. toutes choses 6gales par ailleurs. c'est-^-dire que leurs espaces 
di6lectriques (6paisseur de la couche d'oxyde de silicium) ont des epaisseurs 
diff^rentes. 

A cet effet, selon une disposition avantageuse de I'invention, I'entite 
electronique deflnie ci-dessus est remarquable en ce qu'elle comporte : 
au moins deux sous-ensembles precit§s comprenant chacun : 

un composant capacitif presentant une fuite au travers de son 
espace di§lectrique. des moyens permettant de coupler ce composant 
capacitif a une source d"6nergie §lectrique pour etre charg6 par cette 
source d'energie 6lectrique et 

un moyen de mesure de la charge r6siduelle du composant 
capacitif. cette charge residuelle etant au molns en partle representative 
du temps qui s'est ecoul6 aprds que le composant capacitif a 6te 
d6couple de la source d'6nergie 6lectrique, 

ces sous-ensembles comprenant des composants capacitifs presentant 
des fuites differentes au travers de leurs espaces dielectriques respectifs. 
et en ce que I'entlte §lectronique securisee comporte en outre : 

des moyens de traitement des mesures des charges r§siduelles 
respectives de ces composants capacitifs, pour extraire de ces mesures une 
information sensiblement ind^pendante des apports caloriflques appliques a 
rentit6 Electronique s6curls6e pendant le temps §coul§ d partir de la date de 
reference. 

Par exemple, les moyens de traitement peuvent comporter un tableau de 
valeurs de temps m6moris6es. ce tableau 6tant adresse par ces mesures 
respectives. Autrement dit. chaque couple de mesures designe une valeur de 
temps m6moris6e ind6pendante de la temperature et des variations de 
temperature pendant la p§rlode mesuree. L'entit§ Electronique comporte 
avantageusement une memoire assocl6e ^ un microprocesseur et une partie de 
cette mEmoire peut §tre utilisee pour m§moriser le tableau de valeurs. 

En variante, les moyens de traitement peuvent comporter un loglciel de 
calcul programme pour ex6cuter une fonction pr6d6temiln6e permettant de 
calculer I'information temps, sensiblement independante des apports 
caloriflques. en fonction des deux mesures pr6cit§es. 
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L'invention est partlculldrement adaptee ^ s'appliquer aux cartes d 
microcircuit. L'entit6 6Iectronique s6curis§e peut §tre une carte a microcircuit 
telle qu'une carte bancaire, une carte de controle d'acces, une carte d'identit6, 
une carte SIM ou une carte m^moire (telle qu'une carte SD de Panasonic), ou 
peut comprendre une carte a microcircuit, ou encore peut §tre d'un autre type, 
par exempie, §tre une carte PCMCIA (telle qu'une carte IBM 4758). 

L'invention est en outre remarquable par son niveau d'int6gration. 

D'autres aspects et avantages de l'invention apparattront d la lecture de la 
description d^talll^e qui suit de modes partlculiers de realisation, donn6s d titre 
d'exemples non limltatifs. La description est falte en reference aux dessins qui 
i'accompagnent, dans lesquels : 

- la figure 1 est un synoptique repr6sentant, dans un mode particulier 
de realisation, une entlte 6lectronique securls6e conforme ^ la presente 
invention ; 

- la figure 2 est un schema-bloc d'une carte ^ microcircuit ^ laquelle 
peut s'appliquer i'invention, dans un mode particulier de realisation ; 

- la figure 3 est un schema de principe d'un sous-ensemble que I'entlte 
electronique s6curisee peut comporter dans un mode particulier de realisation ; 
et 

- la figure 4 est un schema-bloc d'une varlante du mode de realisation 
des figures 1 et 2. 

Comme le montre la figure 1, dans un mode particulier de realisation, une 
entite electronique securisee 1 1 confonne S la presente invention comporte une 
memoire non volatile 23, par exempie du type EEPROM. memorisant des 
donnees relatives d au moins un objet, tel qu'un systeme d'exploitation, un code 
secret (code PIN, cie de cryptage ou certificat, par exempie), un fichier ou un 
systeme de fichiers, une application, ou encore des droits d'acces. 

On decrit ci-apres un mode particulier de realisation ou la duree de vie 
choisie pour un objet est independante de ia duree effective d'utilisation de cet 
objet. 

L'entite electronique 11 contient une unite 18 de mesure du temps qui 
s'ecoule S partir d'une date de reference Dref associee d I'objet memorise dans 
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I'EEPROM 23. Cette date de reference peut par exemple §tre la date de creation 
de I'objet dans la carte. 

L'unlt6 18 de mesure du temps est independante de tout systeme 
ext6rieur de mesure du temps, qu'll s'agisse par exemple d'un generateur de 
signal d'horloge ou de tout autre moyen de mesure du temps situe a I'exterieur 
par rapport a la carte. 

L'entite electronique s6curisee 11 comporte 6galement une unite 19 de 
memorisation de plusieurs paramdtres d6finissant I'objet dont on veut g6rer la 
dur6e de vie dans l'entite §lectronlque s6curis6e : 

- un identlfiant Id de I'objet. 

- la date de reference Dref pr§cit6e, et 

- une duree de vie V attribute d I'objet et d6tennin6e au pr^alable. 

Les operations de creation d'un objet mettent bien entendu en oeuvre des 
m6canlsmes s§curitaires pour proteger la donn6e "duree de vie" V. 

L'unit§ de memorisation 19 peut etre confondue avec I'EEPROM 23. 
L'unite de memorisation 19 est avantageusement une m§moire securisee de 
l'entite electronique 11, cette m^moire etant notamment non accessible de 
I'exterieur. En variante, on peut envisager de situer l'unite de memorisation 19 
hors de l'entite electronique s6curisee 11, dans une entite securisee exterieure. 
Dans ce dernier cas, la valeur de la duree de vie V et/ou I'identifiant Id et/ou la 
date de reference Dref sont regus de I'exterieur. de la part d'un tiers dit "de 
confiance" (autorite habilitee). par l'entite electronique securisee 11. par 
rintemiediaire d'un protocole securise (i.e. mettant en oeuvre des moyens 
cryptographiques) et sont memorises au moins temporairement dans une zone 
securisee de l'entite electronique 11. 

L'entite electronique securisee 11 comporte en outre une unite 21 de mise 
a jour et d'invalidation, command6e par l'unite 18 de mesure du temps. 

Confomaement ^ la presente invention, l'unite de memorisation 19 
coopere avec l'unite 18 de mesure du temps de fagon ^ comparer le temps 
ecouie et la duree de vie V. par exemple a chaque utilisation de I'objet, ou S des 
instants quelconques auxquels on souhaite verifier la validite de I'objet. 

Si. apres comparaison du temps ecouie et de la duree de vie V, 11 apparaTt 
que la duree de vie est atteinte ou depassee, l'unite 21 de mise § jour et 
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d'invalidation agit sur I'objet, pour, soit mettre ^ jour sa clur6e de vie V dans 
I'unite de memorisation 19, afin de prolonger la duree de vie de I'objet, 
moyennant la mise en oeuvre de mdcanismes s6curitaires, soit mettre ^ jour 
I'objet (par exempie, en remplagant une version existante de I'objet par une 
nouvelle version), soit inhiber temporairement le fonctlonnement de I'objet, 
pendant une p§riode de temps predetermin^e, voire rendre I'objet definitivement 
Inutilisable. 

On peut pr6voir dans la m^moire de I'entlte electronique s6curis6e 1 1 une 
region (comprenant par exempie un fichler) contenant la date, par exempie en 
secondes, d partir de la date de reference Dref. 

D6s lors, avant d'autoriser une nouvelle utilisation de I'objet, ii est pr6vu 
de comparer la date de rutlllsation courante avec la date de reference Dref. Si la 
difference entre les deux dates est 6gale ou superieure S la duree de vie V, 
I'unite 21 de mise ^ jour et d'invalidation entre en action. 

L'invention compte de nombreuses applications possibles, parnii 
lesqueiles on peut citer : 

- la limitation de la dur6e de vie d'une carte i microcircuit en fonction 
de la dur6e du contrat souscrit par son utilisateur, de fapon ^ garantir qu'aucun 
usage d^toum^ et frauduleux de la carte n'ait lieu au-del^ de la dur6e 
d'utilisation pr^vue ; 

- la limitation, de fagon analogue, de la dur6e de vie d'un systSme de 

fichiers ; 

- la commande d'un changement p6riodique, par I'utilisateur, du code 
confidentiel lie ii I'utilisation de I'entite electronique securis6e ; 

- la definition d'une date limite de validlte pour des donnees 
contenues dans un fichier, au-del^ de laquelle la lecture de ces donnees sera 
rendue impossible ou du moins sera accompagnee d'une mise en garde S 
I'attention de I'utilisateur ; 

- la detection de la fin de la validite d'une application, liee par 
exempie ^ un evenement sportif, culturel ou artistique limite dans le temps, au- 
dela de laquelle cette application sera automatiquement supprimee ; 

- la definition d'une date d'echeance pour une periode d'essai gratuit 
d'une version d'evaluation d'un logiciel, au-delS de laquelle les droits d'utilisation 
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du logiclel pourront dtre prolonges (moyennant la mise en ceuvre d'un 
m6canisme s§curitaire), aprds paiement par Tutilisateur ; 

- la gestion de droits d'acces 6lectronique a un morceau musical, un 
film ou autre, via Internet, sous forme d'abonnement forfaitaire d'une duree fixee 
a I'avance (par exemple, un mols) ou en fonction de la duree effective 
d'utillsation de ces droits d'acces (par exemple. dix heures d'ecoute) ; 

- etc. 

Dans le dernier exemple d'applicatlon mentionn§ ci-dessus, un utlilsateur 
souhalte par exemple aco6der pour une dur6e d^flnie au contenu du site Intemet 
d'un 6diteur de contenu musical. II achate d cet effet des droits d'acces au 
contenu musical pour une duree d6termln6e, par exemple quatre heures. Apres 
verification. I'§dlteur envoie l'entit§ 6lectronique securis6e de I'utilisateur un 
message s6curlse d'ouverture de droits d'§coute pour la duree prevue. A 
reception de ce message, rentit§ 6lectronique securisee cree dans sa memoire 
un objet "droit d'ecoute" et initialise la dur6e de vie V avec la valeur choisie. Id 
quatre heures. 

A la premiere utilisation de I'objet, c'est-^-dire lors du premier acc6s au 
contenu musical, I'entite electronique securisee verifie la presence de I'objet 
"droit d'ecoute" et memorise la date de debut d'§coute. L'utillsateur accede 
ensuite au contenu musical. A chaque demande d'un secret de d6cryptage, 
rentit6 6lectronique s§curls6e v6rifle la presence de I'objet "droit d'ecoute" et sa 
validity, en fonction du temps actualist. SI la difference entre la date courante et 
la date de r6f6rence (qui est Id la date de d6but d'ecoute) est Inferieure a quatre 
heures, alors le droit est toujours valable et I'entite electronique securisee fournit 
le secret qui pennet de d6crypter le contenu musical. En revanche, si cette 
difference est egale ou superieure ^ quatre heures. le droit n'est plus valable et 
le secret de decodage n'est plus foumi. En outre, I'entite electronique peut 
invalider temporairement I'objet "droit d'ecoute", voire le detruire. 

En cas d'arret d'utilisation de I'objet "droit d'ecoute" par I'utilisateur avant 
la fin des droits, la duree de vie de cet objet est mise a jour en fonction du temps 
restant : la nouvelle valeur de la duree de vie est egale d la duree de vie 
precedente, diminuee de la date courante ainsi que de la date de debut d'ecoute. 
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Dans un autre exemple d'application de I'invention, dans le domalne des 
t6l6communlcations mobiles, I'entite electronique securisee peut etre une carte d 
puce du type carte SIM et I'objet peut etre une application dite SAT {"SIM 
Application Toolkit', d6finl notamment par la norme GSM 03.48). Les 
applications peuvent etre chargees au moment de la personnalisatlon de la carte 
SIM, ou etre telechargees, soit en utillsant la technologie SMS (service de 
messages courts, en anglais "Short Message Service"), egalement d6flnie par la 
norme GSM precit^e, soit via un lecteur connecte d un ordinateur lui-m§me 
connects d un centre de gestion de cartes. 

L'entit6 6lectronique gere un tableau d'applications SAT contenant, pour 
chaque application, un identifiant AID de I'application, une date de reference (qui 
est par exemple la date de creation de I'application) et la duree de vie de 
I'appiication. 

A chaque d6clenchement de I'application, la carte SIM determine grace a 
I'unite de mesure du temps si I'application est toujours valable. Si ce n'est pas le 
cas, c'est-^-dire si la difference entre la date courante et la date de creation de 
I'application est egale ou superieure a la dur6e de vie de I'application, la carte 
envoie une commande administrative de type Delete_application(AID) et met d 
jour le tableau d'applications SAT. 

La figure 2 lllustre une entity electronique s§curis§e 11 conforme a la 
pr§sente invention, dans un mode particuller de realisation ou cette entite est 
une carte ^ microcircuit. L'entit6 electronique securisee 11 comporte une unite 
12 lui pemriettant d'etre coupl6e ^ une source d'energie eiectrique exterieure 16. 

Dans le mode particuller de realisation represente, I'entite electronique 
securisee 11 comporte des plages de raccordement metalliques susceptibles 
d'etre connectees a une unite fomiant un lecteur de carte. Deux de ces plages 
de raccordement 13a, 13b sont reservees k I'alimentation eiectrique du 
microcircuit, la source d'energie eiectrique etant logee dans un serveur ou autre 
dispositif auquel I'entite electronique securisee est momentanement raccordee. 
Ces plages de raccordement peuvent etre remplacees par une antenne logee 
dans repaisseur de la carte et susceptible de foumir au microcircuit I'energie 
eiectrique necessaire d son alimentation tout en assurant la transmission 
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bidirectionnelle de signaux radlofrequence permettant les echanges 
d'informatlons. On parte alors de technologle sans contact. 

Le microcircuit comprend un microprocesseur 14 associ6 de fagon 
classique S une memoire 15. 

Dans un exemple particuiier de realisation, I'entite 6tectronlque securisee 
11 comporte au moins un sous-ensembte 17 (ou est assocl6e d un tel sous- 
ensemble) charge de la mesure du temps. 

Le sous-ensembte 17. qui est repr6sent6 plus en d6tail sur la figure 3, est 
done log6 dans rentit6 electronlque s§curis6e 11. II peut faire partte du 
microcircuit et dtre realise dans la mSme technologte d'int6gratlon que celui-ci. 

Le sous-ensembte 17 comprend un composant capacltif 20 presentant 
une fuite au travers de son espace dielectrique 24 et une unit6 22 de mesure de 
la charge r^siduelle de ce composant 20. 

Cette charge r^siduelte est au moins en partte representative du temps 
§coute apr^s que te composant capacitif 20 a ete decoupte de la source 
d'energie 6lectrique. c'est-a-dire. dans I'exemple donne ici, depuis te date de 
reference Dref associee a I'objet dont on cherche d contrdler la duree de vte. 

Le composant capacitif 20 est charge par la source d'6nergfe 6lectrique 
ext6rieure soit par connexion directe. comme dans I'exempte decrit, solt par tout 
autre moyen qui peut amener d charger la grilte. L'effet tunnel est une m6thode 
permettant de charger te grilte sans connexton directe. Dans I'exemple. la charge 
du composant capacitif 20 est pilotee par le microprocesseur 14. 

Dans I'exempte. le composant capacitif 20 est une capacity realisee 
suivant la technologte MOS. L'espace dielectrique 24 de cette capacity est 
constltu6 par une couche d'oxyde de silicium deposes ^ la surface d'un substrat 
26 constituant une des armatures du condensateur. Ce substrat 26 est ici 
connecte a la masse, c'est-^-dire ^ une des homes d'alimentation de la source 
d'energie 6lectrique exterieure. lorsque celle-ci se trouve raccord6e d te carte. 
L'autre armature du condensateur est un d6p6t conducteur 28a applique sur 
I'autre face de la couche d'oxyde de silicium. 

Par ailteurs. I'unlt6 22 de mesure mentionn6e prec§demment comprend 
essentiellement un transistor 30 d effet de champ, ici realise suivant la 
technologte MOS. comme la capacit6. La grille du transistor 30 est connectee ^ 
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une borne du composant capacitif 20. Dans I'exemple, la grille est un depot 
conducteur 28b de m§me nature que le depot conducteur 28a qui. comme 
indique cl-dessus, constltue une des amiatures du composant capacitif 20. 

Les deux depots conducteurs 28a et 28b sont relies Tun a I'autre ou ne 
constituent qu'un seul et meme depot conducteur. Une connexion 32 reli§e au 
microprocesseur 14 permet d'appliquer une tension a ces deux d6p6ts 28a et 
28b, pendant un court intervalle de temps n6cessaire pour charger le composant 
capacitif 20. L'application de cetle tension est pilot^e par le microprocesseur 14. 

Plus g§n§ralement, la connexion 32 pemiet de charger le composant 
capacitif 20 d un moment choisi, sous la commande du microprocesseur 14 et 
c'est S partir du moment oD cette connexion de charge est couple par le 
microprocesseur 14 (ou lorsque I'entit6 electronique s6curis6e 11 est decouplee 
dans son ensemble de toute source d'alimentation eiectrique) que la d6charge 
du composant capacitif 20 au travers de son espace di6lectrique 24 commence, 
cette perte de charge eiectrique 6tant representative du temps ecouie. La 
mesure du temps implique la mise en conduction momentanee du transistor 30, 
ce qui suppose la presence d'une source d'§nergie eiectrique appllquee entre 
drain et source. 

Le transistor 30 S effet de champ en technologie MOS comporte, outre la 
grille, un espace dtelectrique de grille 34 s6parant cette demi§re d'un substrat 36 
dans lequel sont d6finles une region de drain 38 et une region de source 39. 
L'espace di6lectrlque de grille 34 est constitu6 par une couche isolante d'oxyde 
de slllcium. La connexion de source 40 appllquee S la region de source 39 est 
reli§e S la masse et au substrat 36. La connexion de drain 41 est reliee ^ un 
circuit de mesure du courant de drain qui comporte une resistance 45 aux 
homes de laquelle sont connect6es les deux entrees d'un amplificateur 
differentiel 46. La tension delivr§e a la sortie de cet amplificateur est done 
proportionnelle au courant de drain. 

La grille 28b est mise en position flottante pendant qu'on mesure le temps 
ecouie par rapport d la dur6e de vie de Tobjet. Autrement dit. aucune tension 
n'est appliqu6e d la grille pendant cette m§me mesure. En revanche, pulsque la 
grille est connectee d une armature du composant capacitif 20, la tension de 
grille pendant cette m§me mesure est §gale ^ une tension qui se d6veloppe 
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entre ies bomes du composant capacitif 20 et qui r§sulte d'une charge initiate de 
celui-ci r6alis6e sous le contrdle du microprocesseur 14 au cours de la derni^re 
utilisation de I'objet. 

L'6paisseur de la couciie isolante du transistor 30 est notablement plus 
grande que celle du composant capacitif 20. A titre d'exemple non limitatif, 
l'6paisseur de la couche isolante du transistor 30 peut §tre environ trois fois 
superieure a l'6paisseur de la couche isolante du composant capacitif 20. Selon 
rapplication envisag§e. I'^paisseur de la couche isolante du composant capacitif 
20 est comprise entre 4 et 10 nanometres, environ. 

Lorsque le composant capacitif 20 est charg6 par la source d'6nergle 
6lectrique ext6rleure et apres que la connexion de charge a 6t6 coupee sous la 
commande du microprocesseur 14. la tension aux bomes du composant 
capacitif 20 diminue lentement au fur et ^ mesure que ce demier se decharge 
progressivement au travers de son propre espace dielectrique 24. La d6charge 
au travers de I'espace dielectrique 34 du transistor 30 ^ effet de champ est 
negligeabie compte tenu de I'epaisseur de ce dernier. 

A titre d'exemple nullement limitatif. si. pour une §paisseur d'espace 
dielectrique donnee. on charge la grille et I'armature du composant capacitif 20 a 
6 volts ^ un instant t = 0, le temps associe S une perte de charge de 1 volt, c'est- 
^-dire un abaissement de la tension ^ une valeur de 5 volts, est de I'ordre de 
24 secondes pour une epaisseur de 8 nanometres. 

Pour des epaisseurs diff^rentes. on peut dresser le tableau suivant : 



Dur6e 


1 heure 


1 journee 


1 semaine 


1 mois 


Epaisseur d'oxyde 


8,17 nm 


8,79 nm 


9,17 nm 


9.43 nm 


Piedsbn sur letanps 


1,85% 


2,09 % 


2,24 % 


3.10% 



25 



La precision depend de I'erreur commise sur la lecture du courant de drain 
(0,1 % environ). Ainsi, pour pouvoir mesurer des temps de I'ordre d'une semaine, 
on peut prevoir une couche d'espace dielectrique de I'ordre de 9 nanometres. 

La figure 3 montre une architecture particuliere qui utilise une connexion 
directe d la grille flottante (28a. 28b) pour y appliquer un potentlel eiectrlque et 
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done y faire transiter des charges. On peut aussi proceder a une charge 
indirecte, comme mentlonn6 pr§c6demment, grace a une grille de contrdle 
remplagant la connexion directe, selon la technologie utilisee pour la fabrication 
des cellules EPROM ou EEPROM. 

6 La variante de la figure 4 prevoit trois sous-ensembles 17A, 17B, 17C, 

chacun assocl6 au microprocesseur 14. Les sous-ensembles 17A et 17B 
comprennent des composants capacitlfs presentant des fuites relatlvement 
faibles pour pemiettre des mesures de temps relatlvement longs. 

Cependant, ces composants capacitlfs sont g6n6ralement senslbles aux 

0 variations de temperature. Le troisieme sous-ensemble 17C comporte un 
composant capacitif pr6sentant un espace di6lectrique tr^s faible, inf§rieur d 5 
nanometres. II est de ce fait insensible aux variations de temperature. Les deux 
composants capacitlfs des sous-ensembles 17A. 17B pr6sentent des fuites 
differentes au travers de leurs espaces di^lectriques respectifs. 

5 En outre, I'entite electronique s6curisee comporte un module de 

traitement des mesures des charges r6siduelles respectives presentes dans les 
composants capacitifs des deux premiers sous-ensembles 17A, 17B. Ce module 
de traitement est adapte e extraire de ces mesures une Information 
representative des temps et sensiblement ind6pendante des apports calorifiques 

0 appliques e I'entite electronique securisee pendant le temps ecouie depuis la 
date de reference. 

Dans I'exemple, ce module de traitement se confond avec le 
microprocesseur 14 et la memoire 15. En particulier, un espace de la memoire 
15 est reserve d la memorisation d'un tableau T a double entree de valeurs de 
5 temps et ce tableau est adresse par les deux mesures respectives issues des 
sous-ensembles 17A et 17B. Autrement dit, une partle de la memoire comporte 
un ensemble de valeurs de temps et chaque valeur correspond a un couple de 
mesures resultant de la lecture du courant de drain de chacun des deux 
transistors des sous-ensembles 17A, 17B senslbles S la temperature. 

AinsI, au debut d'une operation de mesure du temps ecouie, les deux 
composants capacitlfs sont charges, a une valeur de tension predeterminee, par 
la source d'energie eiectrique exterieure, via le microprocesseur 14. Lorsque la 
carte S microclrcuit est decoupiee du serveur ou lecteur de carte ou autre entite, 
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les deux composants capacitifs restent charges mais commencent a se 
d6charger au travers de leurs propres espaces dielectriques respectifs et. au fur 
et d mesure que le temps s'6coule, sans que la carte ^ microcircuit solt utilises, 
la charge r6slduelle de chacun des composants capacitifs d6croit mais 
5 differemment dans I'un ou I'autre. en raison des fuites diff^rentes d6termin6es 
par construction. 

Lorsque la carte est a nouveau coupl6e & une source d'6nergie 6lectrique 
ext6rieure. par exemple § I'occasion d'une nouvelle utilisation de I'objet. les 
charges rdsiduelles des deux composants capacitifs sont representatives du 
10 m§me intervalle de temps qu'on cherche a d6tenniner mais different en raison 
des variations de temperature qui ont pu se produire pendant toute cette p^riode 
de temps. 

Au moment de la r6util[sation de I'objet, les deux transistors ^ effet de 
champ de ces deux sous-ensembles sont alimentes et les valeurs des courants 
de drain sont lues et trait§es par le microcircuit. Pour chaque couple de valeurs 
de courant de drain, le microcircuit va chercher en m^moire, dans le tableau T 
mentionne pr^c^demment, la valeur de temps con-espondante. Cette valeur de 
temps est alors comparee d la duree de vie V et rutilisation de I'objet n'est 
autorisee que si le temps 6coule est inf6rieur d la dur6e de vie V. 

En variante. cette valeur de temps peut §tre compar6e avec une valeur 
disponible dans le serveur ou lecteur de carte ou autre entity, de preference 
securisee. De plus, rutilisation de I'objet peut n'§tre autorisee que si. non 
seulement le temps ecouie respecte la dur^e de vie de I'objet. mais si en outre, 
la valeur de temps obtenue dans la carte (par exemple la valeur de temps 
memorisee dans le tableau T) est compatible avec la valeur disponible dans le 
serveur ou lecteur de carte ou autre entite, c'est-^-dire si en outre ces deux 
valeurs coincident ou sont relativement proches, selon une tolerance choisie au 
prealable. 

II n'est pas necessaire de memoriser le tableau T. Par exemple, le module 
de traitement, c'est-^-dire essentiellement le microprocesseur 14. peut 
comporter une partie de logiciel de calcul d'une fonction predeterminee 
pemiettant de detemiiner ladite Infomiation sensiblement independante des 
apports calorifiques en fonction des deux mesures. 
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Le troisi^me sous-ensemble 17C comporte, comme decrit plus haut, un 
espace dielectrlque extrgmement mince le rendant insensible aux variations de 
temperature. 

D'autres varlantes sont possibles. En partlculier, si on veut simplifier le 
5 sous-ensemble 17, on peut envisager de supprimer le composant capacitif 20 en 
tant que tel, car le transistor 30 ^ effet de champ peut lui-meme §tre consid6r6 
comme un composant capacitif avec la grille 28b et le substrat 36 en tant 
qu'armatures, ces dernidres etant s6parees par i'espace di6lectrique 34, Dans ce 
cas. on peut consid6rer que le composant capacitif et I'unit6 de mesure sont 
10 confondus. 

II existe plusieurs possibllit6s pour conserver I'indicatlon de temps entre 
les utilisations successives de I'objet. 

Une premiere posslbillte conslste ^ charger la cellule qui mesure le temps 
une fois, lors de la creation de I'objet. A chaque tentative d'utilisation de I'objet, 
5 l'6tat de la charge de la cellule de mesure du temps est representatif du temps 
ecoule depuis la creation de I'objet. On compare ce temps ^ la duree de vie 
attribuee ^ I'objet et on n'autorise I'utilisation de I'objet que si le temps 6coul§ ne 
d6passe pas la duree de vie. 

Une deuxieme possibility conslste a recharger la cellule d chaque mise 
sous tension de rentit6 6lectronique s§curis6e. On mesure ainsi des temps plus 
courts, qu'on vient cumuler: d chaque mIse sous tension, le temps ecoul§ 
depuis la dernidre mise sous tension de I'entlte electronique s§curls6e est 
mesure, puis le composant capacitif est recharge. On accumule les temps ainsi 
mesur6s dans un emplacement de la memoire non volatile de I'entlte 
Electronique. 

Get emplacement m6moire memorise ainsi le temps ecoule depuis la 
premiere mise sous tension et permet de connaTtre ^ tout moment le temps 
6coule depuis la date de r6f6rence, independamment de la duree totale 
d'utilisation effective de I'objet. 

On utilise avantageusement un seul composant capacitif pour une 
plurality d'objets. Cette solution a pour avantage d'utiliser un seul composant 
capacitif ayant une 6paisseur d'oxyde relativement faible, ce qui conf6re une 
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plus grande precision dans la mesure du temps, par comparaison avec le cas 
d'un seul composant pour toute la dur6e de vie de I'entite electronique. 

Le temps qui s'6coule entre Finstant de mesure de la charge du 
composant capacitif et le moment de sa recharge est parfois non n6gligeable. 
5 Pour prendre en compte cet intervalle de temps, on peut utiliser un second 
composant dont la fonction sera de prendre le relals du premier pendant cet 
Intervalle de temps. 

On peut 6galement pr§voir d'utlliser des composants capacitlfs de 
precisions diff§rentes afin d'am6llorer la precision de la mesure : on cholsira, 
10 parmi plusieurs mesures, celle obtenue d parfir du composant le plus precis qui 
n'est pas d^charge. 

Una troisidme possibility conslste d utiliser un composant capacitif par 
objet. d recharger au d6but de la vie de cet objet. Un avantage de cette 
possibilite est qu'on peut pr^voir des composants de mesure du temps adapt^s ^ 
5 la dur6e de vie de I'objet en question, pour am§liorer la precision de la mesure 
du temps ; dans la cellule de mesure du temps, en particulier pour ce qui 
concerne I'epaisseur d'oxyde. on a vu par le tableau donn6 plus haut que le 
choix de I'epaisseur d'oxyde influe sur la precision de la mesure. 

A chaque tentative d'utllisation de I'objet. I'^tat de la charge du composant 
capacitif associ6 ^ I'objet consld§re est representatif du temps 6coule depuis la 
creation de I'objet. On compare ce temps ^ la duree de vie attribute a I'objet et 
on n'autorise rutllisation de I'objet que si le temps 6coul§ ne d6passe pas la 
dur^e de vie. 

En variante, la dur^e de vie peut correspondre ^ la duree totale 
d'utllisation effective de I'objet. Dans ce cas, on mesure et on memorise, a 
chaque utilisation de i'objet, le temps 6coule entre le debut et la fin de cette 
utilisation et on cumule tous les temps ainsi mesures ; ainsi, le temps total 
6coul6 mesure correspondra a la dur§e totale d'utilisation effective de I'objet. 

D'autres variantes, ^ la port§e de I'homme du m6tier, sont possibles. 

Ainsi, confomnement a I'invention, I'utilisation du compteur de temps a 
rint6rieur de la carte pennet d'am^liorer la s§curit6 puisque le d6compte du 
temps est difficile a falsifier. 
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REVENDICATinNS 

1. Entite 6Iectronlque securis6e (11) comportant des moyens (23) 
adaptes d memoriser au moins un objet. caracterisee en ce qu'elle contient un 
moyen (18) de mesure du temps qui s'ecoule a partir d'une date de reference 
(Dref) associ§e audit objet et en ce qu'elle comporte : 

- un moyen (19) de memorisation d'une dur§e de vie (V) attribute 
audit objet. le moyen (19) de memorisation coop§rant avec le moyen (18) de 
mesure du temps de fagon d comparer le temps 6coul6 et ladite duree de vie (V) 
et 

- des moyens (21) de mise § jour et d'Invalidation, pour mettre ^ jour 
ladite dur6e de vie ou I'objet ou rendre I'objet temporairement ou definitivement 
inutilisable s'il r6sulte de ladite comparaison que le temps ecoule atteint ou 
d§passe la dur6e de vie (V). 

2. Entite eiectronique securis§e (11) selon la revendication 1. 
caracterisee en ce que ladite dur6e de vie (V) correspond a la duree totale 
d'utilisation effective de I'objet. 

3. Entity eiectronique securis^e (11) selon la revendication 1. 
caracterisee en ce que ladite duree de vie (V) est une periode de. temps 
independante de la duree totale d'utilisation effective de I'objet. 

4. Entite eiectronique securisee (11) selon la revendication 1, 2 ou 3. 
caracterisee en ce que le moyen (18) de mesure du temps est adapte a foumir 
une mesure du temps qui s'ecoule ^ partir de la date de reference (Dref) lorsque 
I'entite eiectronique (11) n'est pas alimentee par une source d'energie exterieure. 

5. Entite eiectronique securisee (11) selon la revendication 1, 2 ou 3, 
caracterisee en ce que le moyen (18) de mesure du temps est adapte ^ foumir 
une mesure du temps qui s'ecoule ^ partir de la date de reference (Dref) lorsque 
I'entite eiectronique (1 1) n'est pas alimentee eiectriquement. 

6. Entite eiectronique securisee (11) selon I'une quelconque des 
revendlcations precedentes. caracterisee en ce que le moyen (18) de mesure du 
temps est adapte ^ foumir une mesure du temps qui s'ecoule a partir de la date 
de reference (Dref) independamment de tout signal d'horioge exterieur. 
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7. Entite 6lectronique s6curis6e (11) selon I'une quelconque des 
revendications pr6c6dentes. caract§ris6e en ce que le moyen (18) de mesure du 
temps comporte un moyen de comparaison de deux dates. 

8. Entit§ §lectronique securis§e (11) selon I'une quelconque des 
revendications precedentes. caracterisee en ce que le moyen (19) de 
memorisation de la dur§e de vie (V) comporte une entite s6curisee et est situ6 
dans ou hors de ladite entite 6lectronique (11). 

9. Entity electronique s6curis6e (11) selon I'une quelconque des 
revendications precedentes, caract6ris6e en ce que I'objet est un systdme 
d'exploitation, un code secret, un fichier ou un syst^me de fichiers. une 
application ou des droits d'accds. 

10. Entit6 §lectronique s§curisee (11) selon I'une quelconque des 
revendications pr6c6dentes. caract6ris6e en ce que la date de reference (Dref) 
est la date de creation de I'objet. 

11. Entit6 electronique securisee (11) selon I'une quelconque des 
revendications precedentes. caracterisde en ce qu'elle comporte au moins un 
sous-ensemble (17) comprenant : 

un composant capacitif (20) pr§sentant une fulte au travers de son espace 
dielectrique. des moyens permettant de coupler ledit composant capacitif d une 
source d'energie eiectrique pour §tre charge par ladite source d'energie 
eiectrique et 

un moyen (22) de mesure de la charge residuelle du composant capacitif 
(20). ladite charge r6siduelle etant au moins en partle representative du temps 
qui s'est ecouie aprds que le composant capacitif (20) a ete decouple de la 
26 source d'energie eiectrique. 

12. Entite electronique s6curisee (11) selon la revendication precedente, 
caracterisee en ce que ledit moyen (22) de mesure de la charge residuelle est 
compris dans ledit moyen (18) de mesure du temps. 

13. Entite electronique securisee (11) selon la revendication 11 ou 12. 
caracterisee en ce que le composant capacitif (20) est une capacite realisee 
suivant la technologie MOS et dont I'espace dielectrique est constitue par un 
oxyde de silicium. 



20 



30 



wo 2004/051558 PCT/FR2003/003453 



23 

14. Entrt6 electronlque s6curis6e (11) selon la revendlcation 11. 12 ou 13, 
caract6ris§e en ce que le moyen (22) de mesure de la charge residuelle 
comprend un transistor (30) a effet de champ ayant une couche Isolante (34), en 
ce que ie composant capacitlf (20) comporte une couche Isolante (24) et en ce 
que r^paisseur de la couche Isolante (34) du transistor (30) ^ effet de champ est 
notablement plus grande que I'epalsseur de la couche Isolante (24) du 
composant capacitlf (20). 

15. Entity §lectronique s6curls6e (11) selon la revendlcation pr§c6dente. 
caracterls^e en ce que I'epalsseur de la couche Isolante (24) du composant 
capacitlf (20) est comprise entre 4 et 10 nanometres. 

16. Entit6 electronlque s6curlsee (11) selon la revendlcation 13, 14 ou 15, 
caracteris6e en ce qu'elle comporte : 

au molns deux sous-ensembles (17A, 17B) ccmprenant chacun : 

un composant capacitlf presentant une fuite au travers de son 

espace dieiectrique, des moyens permettant de coupler ledit composant 

capacitlf a une source d'energie 6lectrlque pour §tre charge par ladlte 

source d'energie eiectrique et 

un moyen de mesure de la charge residuelle du composant 

capacitlf, ladlte charge residuelle etant au molns en partie representative 

du temps qui s'est ecouie apres que le composant capacitlf a ete 

decouple de la source d'energie eiectrique, 

lesdits sous-ensembles (17A, 17B) comprenant des composants 

capacltifs presentant des fultes differentes au travers de leurs espaces 

dieiectriques respectifs, 
et en ce que ladlte entite electronlque securisee (1 1) comporte en outre : 

des moyens (14, 15. T) de traltement des mesures des charges 
residuelles respectives desdits composants capacltifs. pour extraire desdites 
mesures une information sensiblement independante des apports calorifiques 
appliques a ladite entite (11) pendant le temps ecouie a partir de la date de 
reference (Dref). 

17. Entite electronlque securisee (11) selon la revendlcation precedente. 
caracterlsee en ce que lesdits moyens (14. 15. T) de traltement comportent un 
loglclel de calcul d'une fonctlon predeterminee pour determiner ladite information 
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sensiblement independante des apports calorifiques en fonction desdites 
mesures. 

18. Entity §lectronique securis6e (11) selon I'une quelconque des 
revendications precedentes, caracteris6e en ce qu'il s'agit d'une carte d 

5 microcircuit. 

19. Entite §Iectronique s6curis6e (11) selon I'une quelconque des 
revendications precedentes, caract§risee en ce qu'il s'agit d'une carte PCMCIA. 
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